주요 쇼핑몰의 결제 서비스를 대행하는 A사는 1년 사이 1000원 미만의 상품을 구매하고 신용카드 승인을 요청하는 건수가 늘어나는 것을 이상히 여겼다.
MP3파일이나 전화벨 등 디지털 콘텐츠가 아니라 1000원 이하의 일반 상품을 구매하고 승인을 요청하는 건수가 늘었기 때문이다.
대다수 쇼핑몰에서 1000원 이하의 상품은 많지 않은데 소액 승인 요청은 점점 늘어나 80건에 육박했다. 이를 수상히 여긴 A사는 관련 내용을 경찰에 알렸고 소액 승인이 들어온 쇼핑몰의 주문·결제 정보를 대조해본 결과 30만원짜리 내비게이터가 1000원짜리로 둔갑해 버젓이 결제된 후 배송된 것을 알아냈다. 80여개 인터넷 쇼핑몰의 주문·결제 정보가 해킹을 당한 것이다.
하루에도 엄청난 주문이 밀려드는 대기업 인터넷 쇼핑몰은 물론이고 중소기업 쇼핑몰이 모두 주문·결제 정보를 위·변조할 수 있는 해킹에 무방비 상태인 것으로 드러났다.
정석화 경찰청 사이버테러대응센터 경감은 “이런 사고는 피해 액수는 적지만 취약점이 보완되지 않으면 인터넷 쇼핑몰 대란 등 대규모 전자상거래 사기 피해로 확대될 만큼 심각한 사안”이라고 지적했다.
올해 10월 현재 국내 인터넷 쇼핑몰 사업체 수는 4500여개, 한 달 거래액은 1조834억원에 이른다. 엄청난 규모로 성장한 인터넷 쇼핑몰은 수많은 주문 건수를 일일이 대조할 수 없어 실제로 이 같은 피해를 봤는지도 모르는 상황이다.
개인이 운용하는 인터넷 쇼핑몰이 급증하고 있는 가운데 일부 결제솔루션은 전문 해커가 아니더라도 결제 정보 소스코드를 고쳐 가격을 임의 조작할 수 있는 해킹에 무방비 상태다.
또 쇼핑몰은 원래 1만원짜리인 제품이 1000원짜리로 둔갑해 결제돼도 결제 서비스 업체와 비교 검증을 하지 않는 허점이 있다.
김우한 한국정보보호진흥원 인터넷침해사고대응지원센터장은 “국내 주요 쇼핑몰을 조사해본 결과 주문·결제 정보가 이미지 파일이 아닌 소스코드를 수정할 수 있는 형태로 방치돼 있었다”며 “해커가 이 부분을 마음대로 고쳐 결제하면 전자상거래 사기가 가능하다”고 설명했다.
보안 전문가들은 부정 결제 시도를 조기에 탐지할 수 있도록 쇼핑몰과 결제기관이 모니터링 시스템을 구축해야 한다고 입을 모았다.
이와 함께 쇼핑몰이 근본적으로 물품 결제 정보를 텍스트가 아닌 이미지로 변경해 변조를 어렵게 하거나 가격 정보를 암호화하는 보안 대책을 수립해야 한다고 지적했다.
신수정 인포섹 정보보호컨설팅사업본부장은 “쇼핑몰은 기본적인 IT시스템 점검은 물론이고 결제시스템은 따로 보안 컨설팅을 받은 후 대책을 마련해야 피해를 최소화할 수 있다”고 강조했다.
김인순기자@전자신문, insoon@
관련 통계자료 다운로드 인터넷 쇼핑몰 결제 해킹 개요도